ヤマハのギガアクセスVPNルーター(RTX1200)の設定についてメモる。
LANポート3個を使用した標準の設定に少しカスタマイズしてその主要な一部について記載。
目次
回線構成例
設定定義文(Config)の一例
#アクセス設定 ルーターへのLOGINパスワード設定・権限属性
#
login password **********
administrator password **********
user attribute connection=serial,telnet,remote,ssh,sftp,http gui-page=dashboard,lan-map,config login-timer=3600
#ルーティングの設定 インターネット接続のデフォルトゲートウェイ設定
#
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
#LAN1のインタフェースの設定 LANポート1の設定 (クライアントPC用LAN)
# PP1で設定しているのでLAN1ではフィルター設定しない。
ip lan1 address 192.168.1.1/24
#LAN2のインタフェースの設定
# LAN2は設定なし。
#DMZのインタフェースの設定(LAN3) serverのインターネット公開用
# in:serverから外へのパケットは一部のアプリ使用ポートを除いて全て遮断
# out:外からserverヘのアクセスはpp1で定義しているので,ここでは全て通過
ip lan3 address 192.168.0.1/24
ip lan3 secure filter in 1040 1041 1042 1043 1044 1045 1046 1047 2000
ip lan3 secure filter out 3000 dynamic 100 101 102 103 104 105 106 107 108 109 110 200 201 202 203 204 205 206 207 208
#WAN(LAN2)のインタフェースの設定(PP1) インターネットブロバイダー接続設定
# プロバイダーの各種接続設定
# in:インターネット側から内部向けパケットは,基本server向けなので,最初のパケット(SYN)だけを通す静的フィルタを設定して後は,
# 動的フィルターに制御を任せる設定とする。serverアクセスに関係の無いポートは遮断する。
# out:インターネット向けのパケットは,一部の不要なパケットは遮断して,他は通過させる。
pp disable all
pp select 1
description pp PRV/PPPoE/0:プロバイダー名
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname 接続ID パスワード
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 1020 1021 1022 1023 1030 1031 1032 1033 1034 1035 1036 1037 1080 1081 2000 dynamic 200 201 202 203 204 205 206 207 208
ip pp secure filter out 1010 1011 1012 1013 1014 1015 1016 1017 1018 3000 dynamic 100 101 102 103 104 105 106 107 108 109 110
ip pp intrusion detection in on
ip pp nat descriptor 2
pp enable 1
#フィルタの設定
#
#静的フィルタの設定
# パケットを破棄させるための定義で,前述の「ip pp secure filter」で定義番号を指定する。
# サーバーの基本機能ポートと追加ポート以外は遮断。通過させるパケットは最初のパケット(SYN)でドア開放後,動的フイルターに制御を委ねる。
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1016 restrict * * tcpfin * www,21,nntp
ip filter 1017 restrict * * tcprst * www,21,nntp
ip filter 1018 reject * 192.168.0.0/23 * * *
ip filter 1020 reject 192.168.0.0/23 * * * *
ip filter 1021 pass * 192.168.1.0/24 icmp
ip filter 1022 pass * 192.168.1.0/24 established * *
ip filter 1023 pass * 192.168.1.0/24 tcp * ident
ip filter 1030 pass * 192.168.0.242 tcpflag=0x0002/0x0017 * 21
ip filter 1031 pass * 192.168.0.242 tcpflag=0x0002/0x0017 * www
ip filter 1032 pass * 192.168.0.242 tcpflag=0x0002/0x0017 * domain
ip filter 1033 pass * 192.168.0.242 tcpflag=0x0002/0x0017 * smtp
ip filter 1034 pass * 192.168.0.242 tcpflag=0x0002/0x0017 * pop3
ip filter 1035 pass * 192.168.0.242 tcpflag=0x0002/0x0017 * https
ip filter 1036 pass * 192.168.0.242 tcpflag=0x0002/0x0017 * submission
ip filter 1037 pass * 192.168.0.242 tcpflag=0x0002/0x0017 * imap2
ip filter 1038 pass * * tcpflag=0x0002/0x0017 * imap2
ip filter 1040 pass 192.168.0.242 * icmp * *
ip filter 1041 pass 192.168.0.242 * tcp * www
ip filter 1042 pass 192.168.0.242 * udp * domain
ip filter 1043 pass 192.168.0.242 * tcp * smtp
ip filter 1044 pass 192.168.0.242 * tcp * https
ip filter 1045 pass 192.168.0.242 * tcp https *
ip filter 1046 pass 192.168.0.242 * tcp * submission
ip filter 1047 pass 192.168.0.242 * udp * ntp
ip filter 1080 pass * 192.168.1.0/24 tcp * 独自ポート1
ip filter 1081 pass * 192.168.1.0/24 tcp * 独自ポート2
#
ip filter 2000 reject * * * * *
ip filter 3000 pass * * * * *
#動的フィルタの設定
# バケットを通過させるための設定で,静的フイルターと組み合わせて定義し,
# パケットを破棄させるのは静的フイルターで行う。最初のパケットにより静的フィルターでポートのドアを開放後,
# 動的フィルターに制御が移って,その後の通信状況によってドアを開閉する。
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * https
ip filter dynamic 106 * * submission
ip filter dynamic 107 * * filter 1038
ip filter dynamic 108 * * tcp
ip filter dynamic 109 * * udp
ip filter dynamic 110 * * ntp
ip filter dynamic 200 * 192.168.0.242 ftp
ip filter dynamic 201 * 192.168.0.242 www
ip filter dynamic 202 * 192.168.0.242 domain
ip filter dynamic 203 * 192.168.0.242 smtp
ip filter dynamic 204 * 192.168.0.242 pop3
ip filter dynamic 205 * 192.168.0.242 filter 1035
ip filter dynamic 206 * 192.168.0.242 submission
ip filter dynamic 207 * 192.168.0.242 filter 1037
ip filter dynamic 208 * 192.168.0.242 ntp
#NATの設定 SERVER向けのIPマスカレード 2
# 特定のserverやネットワーク機器向けパケットを相手ipアドレスに変換
nat descriptor type 2 masquerade
#server
nat descriptor masquerade static 2 1 192.168.0.242 tcp 21
nat descriptor masquerade static 2 2 192.168.0.242 tcp www
nat descriptor masquerade static 2 3 192.168.0.242 tcp domain
nat descriptor masquerade static 2 4 192.168.0.242 tcp smtp
nat descriptor masquerade static 2 5 192.168.0.242 tcp pop3
nat descriptor masquerade static 2 6 192.168.0.242 tcp https
nat descriptor masquerade static 2 7 192.168.0.242 tcp submission
nat descriptor masquerade static 2 8 192.168.0.242 tcp imap2
#ネットワーク機器
nat descriptor masquerade static 2 10 192.168.1.220 tcp 独自ポート1
nat descriptor masquerade static 2 11 192.168.1.221 tcp 独自ポート2
#DNSの設定
# dnsサーバー通知先,プライベートアドレスをdnsに転送しない。
dns server pp 1
dns private address spoof on
#server側から唯一外部へアクセスするアプリが使用するポートを開放する。
ddns更新のポート開放はDICEはwww(80),DeNSukeはhttps(443) 共にtcpを開放する。
server設定
server側のLANポート2個についての動作を設定する。
内部向けのパケット(LAN1)とインターネット向けのパケット(LAN2)をスタティックルーティング設定(下記)により振り分ける。詳細設定はここ
route -p change 192.168.1.0 mask 255.255.255.0 0.0.0.0 if 11
route -p change 0.0.0.0 mask 0.0.0.0 192.168.0.1 if 13考察
ヤマハのルーターはconfigファイルで設定値を簡単に入れ替えることができる。基本の設定はほぼ同じなので,テスト環境等にもコピーして少しのカスタマイズで簡単に設定できるので重宝している。RTX1200,RTX1210はISDNポートを実装しているが,後継機RTX1220には省かれている。2024年1月にサービス終了なので当然だな!
